Según los investigadores de Cisco Talos, la campaña comienza con un archivo RTF muy ofuscado que, en el momento del análisis, evitó la detección de 56 programas antivirus. El archivo utiliza el Editor de ecuaciones de Microsoft para explotar CVE-2017-11882, una vulnerabilidad de corrupción de memoria de Microsoft Office que permite a los atacantes ejecutar código arbitrario. Esta etapa en la cadena de ataque emplea un script para descargar la carga útil final.
En algunos casos, la carga útil toma la forma de malware Loki. Otras variantes de la campaña ofrecen ‘xyz.123’, que en realidad es un troyano de acceso remoto (RAT) llamado Agent Tesla. Esta amenaza es capaz de robar contraseñas de 25 aplicaciones comunes, incluidos Chrome, Firefox e Internet Explorer, y comportarse como un rootkit al registrar y robar contenido del portapapeles.
Un vector de infección familiar
Esta no es la primera vez que una campaña de ataque explota CVE-2017-11882 para entregar malware. A principios de 2018, Cisco Talos observó una operación de ataque que aprovechaba documentos maliciosos de PDF y Microsoft Word para explotar esta misma vulnerabilidad, junto con CVE-2017-0199, una vulnerabilidad de Microsoft Office que permite a los malos actores ejecutar código arbitrario usando un documento elaborado. La explotación exitosa dejó a Formbook, un ladrón de información de malware como servicio que puede registrar las pulsaciones de teclado, robar contraseñas y tomar capturas de pantalla.
Cómo defender contra campañas de malware basadas en RTF
Los profesionales de seguridad pueden ayudar a proteger a sus organizaciones contra campañas de malware basadas en RTF analizando documentos potencialmente maliciosos . Herramientas como VBA Editor y oledump.py, por ejemplo, pueden ayudar a los equipos de seguridad a extraer macros de documentos de Office. Los profesionales de la seguridad también deberían considerar adoptar una estrategia de administración de parches que ayude a rastrear y remediar las vulnerabilidades conocidas en todos los puntos finales.
Fuente: Securityintelligence.com